Forum Gdpr

"Conosci te stesso" è un principio valido anche per il GDPR

Difficile soddisfare i requisiti normativi senza una conoscenza approfondita dei propri processi di gestione dei dati. Ma come sono messe le aziende italiane?

Autore: Redazione ImpresaCity

Avvicinandosi alla scadenza del GDPR le imprese stanno comprendendo sempre meglio come sia fondamentale, per rispettare la normativa, prima di tutto esaminare in dettaglio i processi di gestione delle informazioni che hanno in essere. Questo esame porta poi indicazioni per i successivi interventi sia tecnologici sia organizzativi. Come stanno vivendo le aziende italiane questo approccio? Lo abbiamo chiesto a Giulio Vada, Country Manager di G Data Italia.

Il primo passo che tutti consigliano per affrontare il GDPR è un assessment di tecnologie e processi in uso. Come valutate la preparazione delle aziende italiane in questo senso?

La nostra esperienza mostra che pur comprendendo - ma non necessariamente percependo - l’importanza di tale valutazione, le PMI non hanno ancora commissionato l’analisi a specialisti esterni o, qualora dispongano di risorse interne, fanno fatica a tracciare linee guida precise in base a cui condurre l’analisi e giudicare se un processo piuttosto che un sistema siano adeguati alle nuove esigenze normative.

Sul mercato esistono senz’altro tecnologie e servizi per valutare lo stato di client e server nella rete, individuando vulnerabilità di sistemi e applicazioni o altri punti deboli (ad esempio le policy di accesso dei singoli impiegati a risorse e informazioni condivise in rete) che potrebbero veicolare minacce all’integrità dei dati, e specialisti tra gli operatori di canale che possono condurre assessment ai sensi del GDPR.

Tuttavia l’adeguamento delle infrastrutture e dei processi al GDPR pare essere un’attività che le aziende conducono malvolentieri, con la tendenza a procrastinare oltre il dovuto l’adozione delle misure necessarie. Le società che ad oggi vedono quanto imposto dal legislatore come un’opportunità per svecchiare processi e parco installato, riportando la propria infrastruttura a standard più moderni e adeguati, sono mosche bianche. L’Italia però non è la sola a fornire un quadro sconcertante. Analizzando tutti i mercati europei in cui G Data è presente riteniamo che solo il 50 percento delle aziende sarà pronto per il GDPR, il 25 maggio.

gdpr iphone
Dall'assessment dovrebbe derivare una analisi del rischio IT. Dal punto di vista tecnico, quali aree attualmente appaiono più vulnerabili?
Con G Data Total Control Business proponiamo strumenti altamente integrati che accompagnano le aziende verso l’ottimizzazione della sicurezza delle infrastrutture IT che ospitano i dati critici, a priori dell’entrata in vigore del GDPR, con analisi approfondite e la conseguente adozione di misure appropriate. La stessa soluzione si fa garante dell’adeguamento alla normativa successiva, a posteriori dell’entrata in vigore del GDPR.

Secondo quanto ci riferiscono i partner di canale che utilizzano la nostra soluzione per erogare servizi a valore aggiunto, le criticità tecniche fanno capo in primis a una carente manutenzione dei sistemi e delle applicazioni in termini di distribuzione delle patch e ad una mal gestione delle policy di sicurezza. Ad esempio, gli impiegati dispongono spesso di diritti di accesso a risorse non necessarie per lo svolgimento del proprio lavoro e i rispettivi account utente, cui sono ascritti tali diritti, rimangono attivi per anni nonostante il collaboratore abbia lasciato l’azienda o cambiato ruolo. Lo stesso dicasi per eventuali manutentori esterni.

Molti inoltre evidenziano la presenza di soluzioni antivirus gratuite, di cui però non vengono aggiornate le signature, o l’impiego di strumenti gratuiti o a pagamento per il monitoraggio di eventuali anomalie sulla rete corredati da tool del tutto scollegati tra loro, quindi impossibili da correlare per avere un’immagine intelligibile e “pronta all’uso” dell’effettivo stato della rete.

data privacy day

Il GDPR mette in primo piano il "come" le aziende gestiscono i dati e gli eventi collegati alla loro tutela. Quanto in questo si rivela importante una corretta gestione delle policy aziendali? Come queste vanno definite, implementate e mentenute in linea con l'evoluzione nella gestione delle informazioni?


La gestione delle policy è essenziale nell’adeguamento al GDPR. Eccezion fatta per le figure professionali coinvolte nella tutela della privacy, non tutti devono poter accedere a tutte le informazioni. Facendo l’esempio di un poliambulatorio, non è necessario che un medico abbia accesso al recapito telefonico, postale o elettronico / profilo social di un paziente, né a dettagli fiscali rilevanti ai fini della fatturazione delle prestazioni, men che meno alle informazioni su pazienti di altri medici del poliambulatorio. La segreteria necessita invece dell’accesso ai recapiti del paziente e ad informazioni su eventuali iniziative del poliambulatorio a cui ha preso parte, ma non ai protocolli delle sedute né ad eventuali documenti diagnostici. La contabilità dovrebbe poter accedere alle informazioni rilevanti ai fini fiscali e alle prestazioni erogate dai singoli medici, per poterle fatturare.

Sarebbe quindi necessario categorizzare le diverse tipologie di dati e segmentare l’accesso a singole parti del database, limitare dunque l’accesso dei singoli utenti o di gruppi di utenti a specifiche cartelle e risorse di rete. Implementare policy di questo tipo non solo limita eventuali danni sull’integrità dei dati a causa di una infezione malware ma evita che terzi accedano al completo set di dati su qualsivoglia paziente abusando delle credenziali di un singolo collaboratore. Un’adeguata configurazione delle policy aziendali implica anche il monitoraggio di chi, quando, come e da dove accede a determinate risorse di rete e si rivela un ottimo strumento per evitare il furto di dei dati ad opera di ignoti.

Affrontare gli impatti organizzativi e procedurali del GDPR non è mai semplice. Quanto le aziende possono affrontare questa fase in autonomia e quanto invece dovrebbero rivolgersi a realtà esterne?
Escluse le aziende dotate di un team IT interno in grado di valutare insieme al Responsabile del Trattamento e al DPO i potenziali rischi e le eventuali carenze dei sistemi, consiglieremmo alle PMI di rivolgersi a professionisti della sicurezza IT e di optare per i servizi di analisi offerti direttamente dai vendor. O di rivolgersi ad operatori di canale certificati e con un congruo numero di referenze specifiche nel settore di appartenenza del committente, in grado quindi di capire, valutare e poi proporre modifiche dei processi in atto in azienda.